#安全资讯 F5 发布 NGINX 新版本用于修复 HTTP/3 QUIC 模块中的安全漏洞,极端情况下可能会触发远程代码执行,但总体来说问题不是很大。虽然这次爆出的新漏洞影响很多典型 NGINX 配置,然而前提是 ASLR 要被禁用或绕过 (难度很大),典型 Linux 系统默认开启 ASLR 所以 NGINX 的漏洞并不容易被触发。查看全文:https://ourl.co/113595
F5 公司日前发布 NGINX 的新安全公告并披露 CVE-2026-42530 和 CVE-2026-42055 漏洞,前者有可能会导致远程代码执行,后者在常规情况下可以触发崩溃导致拒绝服务,但在某些极端的情况下可能导致远程代码执行,和此前漏洞略有不同的是,大多数典型 NGINX 配置可能都会受 CVE-2026-42530 影响,不过可以开启 ASLR 进行缓解。
CVE-2026-42530 漏洞:
- 漏洞编号:K000161616 / CVE-2026-42530
- 模块说明:HTTP/3 QUIC 模块的释放后使用问题,模块为 ngx_http_v3_module
- 漏洞说明:未经认证的攻击者可以通过特制 HTTP/3 请求触发进程重启,在 ASLR 被禁用或绕过的情况下 RCE
- 影响版本:NGINX 1.31.0~1.31.1
- 修复版本:NGINX 1.30.3 / 1.31.2 (发布于 2026 年 6 月 17 日)
- 触发条件:必须显式启用 HTTP/3 QUIC 或启用 HTTP/3 模块
- 缓解方案:立即升级 1.31.2 + 版,或禁用 HTTP/3,或完整开启 ASLR 功能
CVE-2026-42055 漏洞:
- 漏洞编号:K000161584 / CVE-2026-42055
- 模块说明:ngx_http_proxy_v2_module /ngx_http_grpc_module 堆缓冲区溢出
- 漏洞说明:攻击者可以发送超大或异常的 HTTP Header 在特定条件下触发崩溃,极端情况下 RCE
- 影响版本:NGINX 1.31.0~1.31.1
- 修复版本:NGINX 1.30.3 / 1.31.2 (发布于 2026 年 6 月 17 日)
- 满足代理 HTTP/2 或 gRPC 、ignore_invalid_headers off、large_client_header_buffers 大于 2MB 才能触发
- 缓解方案:立即升级 1.30.3 / 1.31.2 版
这些漏洞有影响但问题不是很大:
此前 NGINX 被爆出多个高危漏洞,这些漏洞多数都是 AI 发现的,但漏洞被公开后就有安全研究员吐槽这些漏洞利用条件都比较极端,也就是大多数典型配置中压根不会触发漏洞。而此次爆出的漏洞中,CVE-2026-42530 影响范围更大,因为现在已经有很多网站启用 HTTP/3 QUIC (蓝点网服务器也已经启用)。
当然并不是说启用 HTTP/3 就会被利用,因为利用前提是 ASLR 被禁用或被成功绕过,而典型的 Linux 配置是开启 ASLR 的,例如蓝点网使用的 Debian 13 默认就是开启 ASLR 的,这种情况下黑客还需要想办法绕过 ASLR 才行 (难度更大),所以即便没有升级也不是特别大的问题。
只不过如果可以的话还是尽早升级到不受影响的版本,毕竟没人知道这些旧版本里是否还会包含其他更容易被利用的漏洞,所以能升级肯定还是优先升级,不能升级再考虑其他缓解措施例如禁用 HTTP/3 或开启 ASLR 功能。
如何检查是否开启 ASLR 功能:
# 使用命令 cat /proc/sys/kernel/randomize_va_space # 或使用命令 sysctl kernel.randomize_va_space # 返回结果如下 0 = 禁用 ASLR 1 = 部分启用 2 = 完整启用
![[附解决方案] Codex桌面版/CLI版可能会频繁写入日志影响SSD寿命 每天写入1.76TB](https://img.lancdn.com/landian/2026/02/111836T.png)
